Was sind die Ziele vom CRA?

Was sind die Ziele vom CRA?

Inhaltsverzeichnis

Der Cyber Resilience Act (CRA) ist die Reaktion der EU auf das niedrige Sicherheitsniveau vieler digitaler Produkte in Kombination mit den stetig wachsenden Schwachstellen und den daraus resultierenden Risiken. Der CRA soll sicherstellen, dass Geräte und Software künftig über den gesamten Lebenszyklus hinweg geschützt bleiben.

Nutzer profitieren von längeren, kostenlosen Security-Updates, mehr Transparenz und Produkten mit einem höheren Sicherheitsniveau. Gleichzeitig steigt das gesamte Cybersicherheitsniveau in der EU, was wiederum Vorteile für die Gesamtwirtschaft hat.

Was sind die aktuellen Probleme?

Digitale Produkte sind längst Teil des Alltags von Endnutzern. Zudem sind vernetzte Produkte aus Infrastrukturen und sicherheitsrelevanten Gesamtlösungen nicht mehr wegzudenken. Mit der steigenden Anzahl an möglichen Angreifern, insbesondere durch die aktuelle geopolitische Situation und die daraus resultierende Anzahl von Schwachstellen entstehen neue Risiken.

Die Verordnung benennt zwei Kernprobleme, welche der CRA fokussiert behandeln soll:

  1. Niedriges Sicherheitsniveau vieler Produkte Zahlreiche Geräte und Softwarelösungen kommen mit Schwachstellen auf den Markt. Oftmals wissen die Hersteller nicht mal, ob die Produkte überhaupt Schwachstellen haben oder welche Komponenten (insbesondere bei Drittsoftware) überhaupt verbaut worden sind. Securityupdates können teilweise gar nicht oder nur verspätet zur Verfügung gestellt werden, was jedoch für die Schachstellenbeseitigung elementar ist. Das macht Millionen Geräte zu Einfallstoren für Angriffe.

  2. Mangel an Information und Verständnis bei den Endverbrauchern und Nutzern Verbraucher können derzeit kaum erkennen, wie sicher ein Produkt ist oder wie lange Security-Updates und Maintenance angeboten werden. Eine fundierte Kaufentscheidung auf Basis von Cybersicherheit ist praktisch unmöglich.

Die Ergebnisse sind steigende Risiken für Unternehmen und Bürger, wachsende Bedrohungen für kritische Infrastrukturen, sowie eine mögliche Schwächung der EU-Wirtschaft aufgrund von ausgenutzten Schwachstellen und deren Auswirkungen.

Welche Ziele verfolgt der Cyber Resilience Act

IT-Sicherheit als Standardanforderung

Produkte mit digitalen Elementen sollen künftig sicher konzipiert, entwickelt, ausgeliefert und betrieben werden. Hersteller tragen die Verantwortung, dass keine bekannten Schwachstellen vorhanden sind und die IT-Sicherheit schon während der Konzeption mitgedacht wird und kein nachträgliches Add-on ist. Dazu ist besonders ein risikobasiertes Vorgehen erwünscht, welches für jedes Produkt und den typischen Anwendungsfall analysiert, welche Risiken auftreten können und welche Gegenmaßnahmen benötigt sind.

Schutz über den gesamten Produktlebenszyklus

Ein zentrales Ziel ist, dass ein hohes Sicherheitsniveau über den gesamten Produktlebenszyklus erreicht wird. Dieses Ziel ist meiner Meinung nach das absolut neuste an dieser Verordnung, da dies oft noch stiefmütterlich behandelt wird. Die Produktsicherheit endet nicht mit dem Verkauf des Produktes. Es reicht nicht nur sicherzustellen, dass Produkte sicher sind, wenn sie das Werkstor verlassen. Hersteller müssen nicht nur das Produkt monitoren, ob neue Schwachstellen auftreten, sondern auch entsprechende Sicherheitsupdates für die Produkte kostenfrei zur Verfügung stellen, um diese Schwachstellen zu schließen. Diese Pflicht ist super wichtig für die Kaufentscheidung eines Produktes. Hersteller müssen bereits vorab angeben, wie lange das Produkt zukünftig supported. Der CRA gibt jedoch auch Regelungen vor, wie lange die Mindestlaufzeit für die Bereitstellung von Sicherheitsupdates sein muss.

Transparenz für Verbraucher

Mit dem CRA und der Erweiterung der CE-Kennzeichnung, um die IT-Sicherheitselemente kann der Verbraucher unterscheiden, ob ein Produkt das Mindestmaß an IT-Sicherheit enthält. Zudem muss der Hersteller angeben, wie lange Sicherheitsupdates als Maintenance zur Verfügung gestellt werden. Der Verbraucher hat damit schon vorab eine bessere Entscheidungsgrundlage und wird nicht negativ nach dem Produktkauf überrascht.

Horizontale Regeln für einen Großteil an digitalen Produkten

Anders als sektorspezifische Vorgaben verfolgt der CRA einen horizontalen Ansatz. Die Anforderungen gelten für eine Vielzahl von Produkten mit digitalen Elementen unabhängig von Branche oder Technologie. Damit wird sichergestellt, dass Sicherheitsstandards auch für zukünftige Technologien gelten. Die Anforderungen sind somit allgemeine, verpflichtende Sicherheitsanforderungen, welche produktübergreifend gelten und die gesamte IT-Sicherheit des Produktes betrachten und sich nicht auf einzelne Teilbereiche fokussieren.

Stärkung der europäischen Resilienz

Ein erklärtes Ziel ist es, die digitale Souveränität Europas zu stärken. Weniger unsichere Produkte bedeuten weniger Angriffsflächen, weniger Botnetze und weniger Risiken für die Versorgungssicherheit. Gleichzeitig sollen Abhängigkeiten von Hochrisiko-Anbietern („high risk vendors“) reduziert werden.

CRA Gap-Analyse

Gemeinsam mit Dir analysieren wir systematisch, wo Dein Unternehmen heute steht. Wir gleichen bestehende Prozesse, technische Maßnahmen und Dokumentationen mit den Anforderungen des Cyber Resilience Act ab. So erkennst Du sofort, welche Pflichten bereits erfüllt sind und an welchen Stellen Du nachbessern musst.

Zur Gap-Analyse
Illustration Cyber Resilience Act Gap Analyse

Was sind die Vorteile für den Endverbraucher

Eines der Hauptprobleme, welche der CRA sieht, ist die mangelnde Produkttransparenz hinsichtlich der IT-Sicherheit für den Endverbraucher. Mit den bereits genannten Zielen des CRA ergeben sich daraus die folgenden Vorteile für den Endverbraucher:

  • Mehr Produktsicherheit im Alltag Produkte müssen sicher ausgeliefert werden, Securityupdates müssen bei auftretenden Schwachstellen zeitnah bereitgestellt werden. Das senkt das Risiko für Angriffe und damit die Auswirkungen für den Endverbraucher über smarte Geräte oder Apps erheblich.
  • Längere Nutzungsdauer Mit einer klar geregelten Mindestunterstützung von fünf Jahren können Verbraucher ihre Geräte länger bedenkenlos einsetzen, da Maintenance und Sicherheitsupdates gewährleistet werden.
  • Kostenlose Updates Sicherheitsupdates dürfen nicht von kostenpflichtigen Services abhängen. Nutzer haben Anspruch auf kostenlosen Schutz während der gesamten Supportzeit.
  • Bessere Kaufentscheidungen Durch Transparenz über Sicherheitsmerkmale und Supportzeiträume können Verbraucher Produkte nach Cybersicherheitskriterien auswählen.

Was sind die Vorteile für die EU

Einheitlicher Binnenmarkt

Bisher war der Markt von einem Flickenteppich an nationalen Regelungen geprägt. Der CRA schafft einheitliche Anforderungen in allen 27 Mitgliedstaaten, was sowohl Verbrauchern als auch Herstellern zugutekommt. Wichtig hierbei ist auch, dass nicht nur Hersteller aus der EU verpflichtet sind den CRA einzuhalten, wenn sie digitale Produkte auf den Markt bringen wollen, sondern sämtliche Unternehmen. Es kommt nämlich nicht auf den Sitz des Herstellers an, sondern einzig und allein, ob das Produkt innerhalb der EU auf dem Markt angeboten wird. Damit gilt der CRA auch für Hersteller / Importeure aus anderen Ländern und dabei insbesondere auch für den asiatischen Bereich.

Stärkung der Lieferketten

Da Sicherheitspflichten über den gesamten Lebenszyklus gelten, werden auch Lieferketten widerstandsfähiger. Unsichere Komponenten können nicht mehr unkontrolliert in komplexe Systeme einfließen. Hersteller, welche wiederum Produkte als Integrationskomponenten benutzen, haben hier eine zusätzliche Absicherung.

Integration in die EU-Cyberstrategie

Der CRA ergänzt bestehende Initiativen wie NIS-2, DORA und den AI Act. Gemeinsam bilden sie ein starkes Regelwerk, das Europas digitale Zukunft absichert.

Internationale Vorreiterrolle

Mit dem CRA positioniert sich die EU als globale Vorreiterin für Cybersicherheitsregulierung. Hersteller, die in Europa verkaufen wollen, müssen die Regeln einhalten, was hoffentlich weltweit zu einem höheren Standard führen dürfte.

Investition in Skills und Menschen

Die Verordnung weist auch auf die Notwendigkeit hin, Cybersicherheitskompetenzen auszubauen in Form von Wissen, aber auch in Form von Personal. Hersteller und Mitgliedstaaten müssen in Fachkräfte und Ausbildung investieren, um die neuen Anforderungen zu erfüllen.

Fazit

Der Cyber Resilience Act verfolgt ein klares Ziel: Digitale Produkte sollen in Europa sicherer werden, und das für Verbraucher, Unternehmen und Staaten.

  • Verbraucher profitieren von mehr Transparenz, längeren Supportzeiten und kostenlosen Securityupdates.
  • Unternehmen gewinnen Rechtssicherheit und können sich auf ein höheres Sicherheitsniveau in Lieferketten verlassen.
  • Europa stärkt seine digitale Souveränität und Resilienz in einer zunehmend vernetzten und geopolitisch angespannten Welt.

Der CRA ist damit weit mehr als eine Regulierung. Er ist ein strategischer Baustein für ein sicheres digitales Europa, in dem Cybersicherheit nicht länger Ausnahme, sondern Standard ist.

Solltest du Unterstützung benötigen, wie du den CRA effizient in deine bestehenden Produktentwicklungsprozesse integrieren kannst, oder Hilfe bei der GAP-Analyse oder allgemein CRA-Beratung brauchst, kannst du dich gerne an uns wenden.

Du möchtest mehr zum Thema erfahren?

Vereinbare einen kostenlosen Gesprächstermin mit uns oder sende uns deine Anfrage über unser Kontaktformular.

Termin vereinbaren Anfrage senden
App screenshot
Tags :

Ähnliche Posts

SBOM: Die Grundlage für sichere Software-Lieferketten

SBOM: Die Grundlage für sichere Software-Lieferketten

Beim Lebensmitteleinkauf geht der Blick so gut wie immer auf die entsprechende Produktrückseite, um die Produktzutatenliste zu studieren. Schließlich wollen wir als Verbraucher genau wissen, welche Zutaten sich in unseren Lebensmitteln befinden. In den letzten Jahren und Jahrzehnten haben sich diesbezüglich die Deklarierungspflichten stark verschärft.

Mehr lesen
Cyber Resilience Act: Wie können sich Unternehmen auf die neuen Sicherheitsanforderungen vorbereiten

Cyber Resilience Act: Wie können sich Unternehmen auf die neuen Sicherheitsanforderungen vorbereiten

Die Anzahl an digitalen Produkten ist in den letzten Jahren stark gestiegen. Seien es klassische SaaS Produkte oder vernetzte Geräte im Haushalt oder Industriebereich. Diese digitalen Produkte hatten jedoch häufig ein geringes Cybersicherheitsniveau, was zu teils massiven Angriffen geführt hat. Der Cyber Resilience Act ist die erste europäische Verordnung, welche ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte festlegt, die auf dem EU-Markt erhältlich sind.

Mehr lesen
SBOM und der Cyber Resilience Act

SBOM und der Cyber Resilience Act

Der Cyber Resilience Act ist die erste europäische Verordnung, die ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte festlegt, die auf dem EU-Markt erhältlich sind. Damit sind nicht nur IoT-Produkte gemeint, sondern auch SaaS-Produkte oder Smartphone Apps. Das bedeutet, dass sich so gut wie alle Softwarehersteller mit dem Thema Cyber Resilience Act beschäftigen müssen. Der Cyber Resilience Act hat verschiedene Anforderungen, unter anderem die Erstellung und Archivierung einer SBOM für das jeweilige Softwareprodukt.

Mehr lesen